E-Voting der Post lässt sich nicht schützen sagt Chaos Computer Club
Das E-Voting-System der Post muss schon vor dem offiziellen Test internationale Kritik einstecken. Nun erklären zwei Exponenten, was auf dem Spiel steht.
Das Wichtigste in Kürze
- Die Kritik am E-Voting-System der Post sei unbedingt ernstzunehmen, sagen IT-Experten.
- Überraschend käme die Kritik jedoch nicht; E-Voting sei kaum zu sichern, sagen sie.
- Auf dem Spiel stehe nicht weniger als das Vertrauen in die Demokratie.
«Die Schweiz wird sich gegen ernstzunehmende Angreifer in keinem Fall schützen können.» Hernani Marques, Experte für Computersicherheit vom Schweizer Chaos Computer Club (CCC), wählt deutliche Worte. «Sollte der E-Voting-Betrieb immer weiter verbreitet werden, nimmt die Wahrscheinlichkeit realer Angriffe auch immer weiter zu.»
Schlussendlich gehe es um das Vertrauen in die Demokratie. «Wie häufig denken Sie können wir z. B. Parlamentswahlen wiederholen, bis kaum mehr jemand Abstimmen und Wählen geht, weil sich alle denken, dass das ohnehin nur ein «Theater» ist?»
E-Voting gefährdet die Glaubwürdigkeit von Abstimmungen
Nicolas A. Rimoldi ist Vizepräsident Jungfreisinnige Luzern und Kampagnenleiter beim Moratorium gegen E-Voting. Er erklärt das Problem so: «E-Voting wird nur von IT-Experten verstanden. Das widerspricht den Grundprinzipien unserer Demokratie. Alle Prozesse müssen für alle Bürger verständlich sein.»
Das habe eine grosse Tragweite. «Sollte jemals eine E-Voting-Abstimmung manipuliert werden, verlieren alle bisherigen E-Voting-Abstimmungen ihre Legitimation. Dann verlieren die Bürgerinnen und Bürger das Vertrauen in die gut funktionierende Schweizer Demokratie. Das darf niemals passieren.»
Verschiedene Wege führen zur Wahl-Manipulation
Für Hacker sei es am einfachsten, das E-Voting-Kernsystem unberührt zu belassen und etwa die Druckerinfrastrukturen der Kantone anzugreifen, erklärt Marques. «Konkret die E-Voting-Codes, die man zum Abstimmen benötigt (dafür sind nur zwei Codes nötig sowie das Geburtsdatum, das man z. B. in geleakten Swisscom-Kundenstämmen findet) zu kopieren. Damit lässt sich für Nichtwählende abstimmen. Es ist quasi die perfekte Wahlfälschung.» Das System hat keine Chance dies zu bemerken.
Denn: «Der ständig behaupteten Leier, man könnte Angriffe sicher detektieren, ist keinem Glauben zu schenken», sagt Marques. «Man nehme als Beispiel die RUAG, die zwei Jahre unterwandert war, ohne dass sie dies selber gemerkt hätte. Werden die Systeme tiefenverwanzt, so ist auch die Post schutzlos ausgeliefert.» Die RUAG konnte weder herausfinden wer noch wo sie bespitzelt wurde.
Pornoseiten und Katzenvideos sind tabu
Der Kanton Genf hatte sein E-Voting-System eingestellt, nachdem der CCC gezeigt hatte, dass Manipulationen möglich wären. «Dies ist nur deshalb so leicht möglich, weil das System eines ist, wo zum Schluss Personen mit beliebigen Geräten auf beliebigen Browsern auf Webseiten abstimmen. Naturgemäss sind hier Angriffe noch und nöcher möglich.»
Marques erklärt weiter: «Für eine zumindest ausreichend sichere Lösung wären Milliardeninvestitionen dergestalt nötig, dass alle BürgerInnen über eigene, dedizierte Abstimmungsgeräte verfügen, mit denen man nicht nebenher noch auf Pornoseiten surft oder sich Katzenbilder im Twitter-Feed anschaut.»
IT-Experten halten wenig von E-Voting-System der Post
Die zuletzt via Twitter kursierende Kritik von Kryptografie-Experte Matthew Green und Privatsphäre-Forscherin Sarah Jamie Lewis rät Marques ernst zu nehmen. «Insbesondere Green weist darauf hin, dass er es als schwierig einschätzt, dass überhaupt jemand den Code auditieren kann. Er sagt auch konkret, dass er davon ausgeht, dass bisher niemand den Code sauber auditiert hat.»
Auditieren heisst eine Software auf seine Funktionstüchtigkeit zu überprüfen sowie sicherzustellen, dass sie den Vorgaben nach sicher und zuverlässig ist. Rimoldi fügt an: «Dass grundlegende Software-Regeln nicht eingehalten werden, ist ein deutliches Indiz dafür, dass die Post mit E-Voting überfordert ist.»
Rimoldi sagt zum geplanten öffentlichen Systemtest der Post durch Hacker: «Die Post schiebt die Verantwortung für ihr eigenes System an die Bevölkerung ab. Der Intrusionstest ist ein reiner PR-Gag, mehr nicht».
Und für Marques ist deshalb klar: «Der CCC wird sich an dieser Marketing-Aktion der Post mit Sicherheit nicht beteiligen. Man kann Sicherheit mit keinem Test und schon gar nicht mit einem solchen künstlich beschränkten Test, beweisen. Man kann immer nur zeigen, wie unsicher ein System ist.» Und er fügt an: «Amüsanterweise führt die Post wunderbar an, welche Methoden reale Angreifer verwenden werden, um das E-Voting anzugreifen.»
Spannend am #eVoting-Intrusiontest der @postschweiz sind die «verbotenen» Methoden – es sind u.a. Angriffsmöglichkeiten, die «in vivo» grossflächige Manipulationen erlauben, etwa Angriffe auf:
— Claudio Kuster (@cloudista) February 7, 2019
- User PC (Malware)
- E-Urne entschlüsselnde Person (Social Engineering) pic.twitter.com/eXIyszRJjF
Die Post hatte ihr Vorgehen heute Dienstag verteidigt.